信息安全体系结构1资料
信息安全策略体系结构组成及具体内容
信息安全策略体系结构组成及具体内容信息安全策略体系是一个组织或企业用来保护其信息资产免受损害的具体计划和框架。
它是信息安全管理的基础,可以帮助组织建立安全的信息系统和保护信息资产,以应对日益增长的威胁和风险。
下面将详细介绍信息安全策略体系的结构、组成以及具体内容。
一、信息安全策略体系的结构1.信息安全目标:明确组织对信息安全的期望和目标,如保护机密性、完整性和可用性。
2.组织结构与职责:确定信息安全管理的组织结构和职责,包括指定信息安全负责人、安全团队以及各个部门的安全职责。
3.风险评估和管理:识别和评估信息系统和信息资产的风险,并采取相应措施来管理和减轻这些风险。
4.安全控制:定义并实施符合组织需求的安全控制措施,以保护信息系统和信息资产。
这包括技术控制、物理控制、组织和人员控制等。
5.安全培训与意识:提供信息安全培训和教育计划,增强员工的信息安全意识和能力。
6.合规性要求:确保组织符合相关的法律、法规和监管要求,以及行业标准和最佳做法。
7.事件响应和恢复:建立适当的响应机制和应急计划,以及恢复系统和信息资产的能力,以应对安全事件和事故。
8.性能评估与改进:定期评估信息安全策略的有效性和组织的安全性能,并制定改进措施。
二、信息安全策略体系的组成1.政策与规程:明确组织对信息安全的要求和政策,并制定相应的信息安全规程和操作指南,以指导员工在日常工作中的行为规范和操作规范。
2.安全控制措施:部署和实施各类安全控制措施,包括访问控制、身份验证、防火墙、加密以及网络安全监控和审计等。
3.审计与监测:建立日志记录和监测系统,对系统的使用情况和安全事件进行跟踪和审计,以及采取相应措施,保护和保留相关日志。
4.信息分类与标识:根据信息的重要性和敏感性将信息进行分类,并采取相应的措施进行标识和保护,以确保信息的机密性和可用性。
5.培训与意识提升:为员工提供信息安全培训和意识提升计划,增强他们对信息安全的认识和重要性,并教育他们如何正确处理信息。
信息安全体系结构
3.2信息安全体系框架
Standard template
3.2.1信息安全多重保护机制
信息安全的最终任务是保护信息资源被合法用户安全使用,并禁止非法用户、入侵 者、攻击者和黑客非法偷盗、使用信息资源, 国际信息系统安全认证组织 InternationalInformationSystemsSecurityCertificationConsortium,简称ISC2将 信息安全划分为5重屏障共10大领域,
1加密,加密既能为数据提供保密性,也能为通信业务流提供保密性,并且还能为其它机 制提供补充, 2数字签名机制,可以完成对数据单元的签名工作,也可实现对已有签名的验证工作,当 然数字签名必须具有不可伪造和不可抵赖的特点, 3访问控制机制,用来实施对资源访问加以限制的机制,把对资源的访问只限于那些被授 权用户,对非授权或不正当的访问应有一定的报警或审计跟踪方法, 4数据完整性机制,针对数据单元,一般通过发送端产生一个与数据单元相关的附加码,接 收端通过对数据单元与附加码的相关验证控制数据的完整性, 5鉴别交换机制,使用密码技术,由发送方提供,而由接收方验证来实现鉴别, 6通信业务填充机制,制造伪通信业务和将协议数据单元填充到一个定长能够为防止通 信业务分析提供有限的保护,通过通信业务填充来提供各种不同级别的保护, 7路由选择控制机制,可以提供安全的路由选择方法,保证敏感数据只在具有适当保护 级别的路由上传输, 8公证机制,通过第三方机构,实现对通信数据的完整性、原发性等内容的公证,一般通过 数字签名、加密等机制来适应公证机构提供的公证服务,
http://.chinacissp
Apply to courseware
本章小结
Standard template
信息安全的体系结构
相关的国际标准化组织
电气和电子工程师学会IEEE(Institute of
Electrical and Electronic Engineers),近年 来关 注公开密钥密码标准化工作,如 P1363;
相关的国际标准化组织
Internet体系结构委员会IAB(Internet
Architecture Board),在报文加密和鉴别, 证书的密钥管理,算法模块和识别,密 钥证书和相关服务方面提出不少建议, 如RFC1421- RFC1424,其中包括MD5、 DES、RC5、PGP等密码用法建议
制、路由控制机制和公证机制。
加密
●保密性:向数据或业务流信息提供保密
性。
●加密算法:分两大类——对称加密以及
非对称加密。(可逆与不可逆)
数字签名机制
●对数据单元签名 ●验证签过名的数据单元
●签名只有利用签名者的私有信息才能产
生出来,这样在签名得到验证之后,就
可在任何时候向第三方证明:只有秘密
信息的惟一拥有者才能够产生那个签名。
相关的国际标准化组织
美国国家标准局NBS(National Bureau of
Standards)
相关的国际标准化组织
美国国家技术研究所NIST(National
Institute of Standard and Technology), NBS和NIST 隶属于美国商业部。他们制 定的信息安全规范和标准很多,涉及方 面有:访问控制和认证技术、评价和保 障、密码、电子商务、一般计算机安全、 网络安全、风险管理、电信、联邦信息 处理标准等 .
相关的国际标准化组织
国际电信联盟ITU(International
elecommunication Union) 原称国际电报和电话咨询委员会 CCITT(Consultative Committee International Telegraph and Telephone)。 其中x.400和x.500对信息安全问题有一系 列表述 .
信息安全体系结构
一、名词解释1.信息安全:建立在网络基础上的现代信息系统,其安全定义较为明确,那就是:保护信息系统的硬件软件及其相关数据,使之不因偶然或是恶意侵犯而遭受破坏,更改及泄露,保证信息系统能够连续正常可靠的运行。
2.VPN :一般是指建筑在因特网上能够自我管理的专用网络,是一条穿过混乱的公共网络的安全稳定的隧道。
通过对网络数据的封包和加密传输,在一个公用网络建立一个临时的,安全的连接,从而实现早公共网络上传输私有数据达到私有网络的级别。
3.安全策略:是有关信息安全的行为规范,是一个组织所颁布的对组织信息安全的定义和理解,包括组织的安全目标、安全范围、安全技术、安全标准和安全责任的界定等。
4.入侵检测:对入侵行为的发觉。
它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
5.SSL 协议:SSL (secure socket layer )修改密文规定协议室友Netscape 提出的、基于web 应用的安全协议,是一种用于传输层安全的协议。
传输层安全协议的目的是为了保护传输层的安全,并在传输层上提供实现报名、认证和完整性的方法。
SSL 制定了一种在应用程序协议,如HTTP 、TELENET 、NNTP 、FTP 和TCP/IP 之间提供数据安全性分层的机制。
它为TCP/IP 连接提供数据加密、服务器认证、消息完整性及可选的客户机认证。
6.数字证书:是指各实体(持卡人、个人、商户、企业、网关、银行等)在网上信息交流及交易活动中的身份证明。
7.非对称加密:拥有两个密钥:公开密钥(publickey )和私有密钥(privatekey )。
公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
03信息安全体系结构
2006年主要的信息安全技术应用统计
3.6
信息安全等级保护与分级认证
产品认证 人员认证 系统认证
18
3.6
信息安全等级保护与分级认证
IT安全评估通用准则 3.6.1 IT安全评估通用准则
1985年,美国国防部颁布了可信计算机的安全评估准 1985年 TCSEC); 1995年 统一成CC 1999年 CC准则成为 CC; 则(TCSEC); 1995年 统一成CC;1999年,CC准则成为 国际标准( 15408) 国际标准(ISO/IEC 15408) CC评估准则将信息系统的安全性定义为7 CC评估准则将信息系统的安全性定义为7个评估保证 评估准则将信息系统的安全性定义为 级别(EAL1~EAL7), EAL1:功能测试;EAL2: ),即 级别(EAL1~EAL7),即EAL1:功能测试;EAL2:结构测 EAL3:系统地测试和检查;EAL4:系统地设计;EAL5: 试;EAL3:系统地测试和检查;EAL4:系统地设计;EAL5: 半形式化设计和测试;EAL6:半形式化验证的设计和测试; 半形式化设计和测试;EAL6:半形式化验证的设计和测试; EAL7:形式化验证的设计和测试。 EAL7:形式化验证的设计和测试。
4
3.1 信息安全的保护机制
5
3.2 开放系统互连安全体系结构
6
3.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、 安全机制是指用来保护系统免受侦听、阻止 是指用来保护系统免受侦听 安全攻击及恢复系统的机制。 安全攻击及恢复系统的机制。
安全服务就是加强数据处理系统和信息传输的 安全服务就是加强数据处理系统和信息传输的 安全性的一类服务, 安全性的一类服务,其目的在于利用一种或多种安 全机制阻止安全攻击。 全机制阻止安全攻击。
信息安全体系结构1
入侵检测,难以100%准确,无遗漏
◦ 对于未知的行为,入侵检测系统只能根据其蛛丝马迹判断 可能是入侵,而不能准确判定。因此对于入侵检测系统的 告警,存在误报和漏报
难以有效防范内部职员犯罪
◦ 城墙从外部攻破困难,内部打开容易
成绩策略
联系办法
助教
信息安全基本概念 体系结构基本概念 信息安全保障 三要素 信息安全体系结构规划与设计
1 信息与信息安全 2 信息安全理念的发展 3 信息安全技术的发展 4 信息安全评估与标准化
什么是信息?
信息就是信息,既不是物质也不是能量 (Wiener,1948) 信息是事物之间的差异 (Longo,1975) 信息是集合的变异度 (Ashby,1956) 信息是一种场 (Eepr,1971) 信息是用以消除随机不定性的东西 (Shannon,1948) 。 信息是使概率分布发生变动的东西 (Tribes etal, 1971) 。 信息是负熵 (Brillouin,1956) 。 信息是有序性的度量 (Wiener,1948) 。 信息是系统组织程度的度量 (Wiener,1948) 。 信息是被反映的差异 ( УΛ cy Λ, 1968) 。 …………
仍有各种手段,可以成功进行攻击
◦ 技术高超的黑客,可以暗中躲过检测 ◦ 间谍,通过各种非技术方式渗透
在恢复完成之前,信息系统不能正常运行 恢复难以恢复全部的服务数据 恢复的系统仍旧是有漏洞的系统
◦ 仍旧会在敌人的同样攻击下倒下
在敌人成功入侵的环境中生存 在存在病毒环境中生存 在恶劣环境中生存 入侵容忍是生存技术中的核心
信息安全体系结构概述(PPT 48张)
定义了5种安全目标,10多种安全机制。
5种安全目标是: 机密性、完整性 身份识别、访问控制、防抵赖
应用平台安全体系
目前,通过国际标准化组织的努力,提出若干体系结构方面的 标准。比较有影响的是国际标准化组织( ISO )的开放系统互连 ( OSI )安全体系结构( ISO 7498-2 )、高层安全模型( ISO/IEC 10745);互联网工程任务组(IETF)的安全体系结构 IPSec、传输 层安全TLS等。
使信息系统组件具有抗击外界电磁辐射或噪声干扰能力而保持正常运行。
物理安全除了包括机械防护、电磁防护安全机制外,还包括限制非法 接入,抗摧毁,报警,恢复,应急响应等多种安全机制。
计算机系统平台安全体系
硬件上主要通过下述机制,提供一个可信的硬件环境,实现其安全目标。
1. 存储器安全机制 2. 运行安全机制
安全机制
信息安全中安全策略要通过安全机制来实现。安全机制可以分为保护机 制、检测机制和恢复机制三个类别。下面我们对常用的安全机制的概念进 行说明。
加密
加密技术能为数据或通信信息流提供机密性。同时对其他安全机制的 实现起主导作用或辅助作用。
(1)传统密码:DES、AES
(2)公然破坏。
在无连接模式的数据传输中(如UDP),与时间戳机制的结合可以起到防重放 的作用。
身份识别
身份识别在OSI中称为鉴别交换 各种系统通常为用户设定一个用户名或标识符的索引值。身份识别就是后续交 互中当前用户对其标识符一致性的一个证明过程,通常是用交互式协议实现的。 常用的身份识别技术有: (1) 口令(password) 验证方提示证明方输入口令,证明方输入后由验证方进行真伪识别。 (2) 密码身份识别协议 使用密码技术,可以构造出多种身份识别协议。如挑战—应答协议、 零知识证明、数字签名识别协议等。 (3)使用证明者的特征或拥有物的身份识别协议 如指纹、面容、虹膜等生物特征,身份证、IC卡等拥有物的识别协议。 当然这些特征或拥有物至少应当以很大的概率是独一无二的。
信息安全体系结构概述
信息安全体系结构概述信息安全体系结构通常包括以下几个关键组成部分:1. 策略和规程:包括制定和执行信息安全政策、安全规程、控制措施和程序,以确保组织内部对信息安全的重视和执行。
2. 风险管理:包括风险评估、威胁分析和安全漏洞管理,以识别和减轻潜在的安全风险。
3. 身份和访问管理:包括身份认证、授权和审计,确保只有授权的用户才能访问和操作组织的信息系统。
4. 安全基础设施:包括网络安全、终端安全、数据加密和恶意软件防护,以提供全方位的信息安全保护。
5. 安全监控和响应:包括实时监控、安全事件管理和安全事件响应,以保持对信息安全事件的感知和及时响应。
信息安全体系结构的设计和实施需要根据组织的特定需求和风险状况进行定制,以确保信息安全控制措施的有效性和适用性。
同时,信息安全体系结构也需要不断地进行评估和改进,以适应不断变化的安全威胁和技术环境。
通过建立健全的信息安全体系结构,组织可以有效地保护其信息资产,确保业务的连续性和稳定性。
信息安全体系结构是一个综合性的框架,涵盖了组织内部的信息安全管理、技术实施和持续改进,以保护组织的信息资产不受到未经授权的访问、使用、泄露、干扰或破坏。
下面我们将深入探讨信息安全体系结构的各个关键组成部分。
首先是策略和规程。
信息安全体系结构的基础是明确的信息安全政策和安全规程。
具体来说,信息安全政策应当包括对信息安全意识的要求、信息安全的目标和范围、信息安全管理的组织结构和沟通机制、信息安全责任和权限的分配、信息安全培训和监督制度,以及信息安全政策的制定、执行、检查、改进和审查的一系列管理程序。
涉及敏感信息资产的操作程序和应急响应机制,应当被明确规定。
其次是风险管理。
风险是信息系统安全的关键问题之一。
风险管理主要包括风险评估、威胁分析和安全漏洞管理。
通过对信息系统进行风险评估和威胁分析,可以评估信息系统的脆弱性,找出哪些方面具有较大的风险,并将重点放在这些方面,进行防护措施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全关注的内容
◦ 真实性:确保人/实体的身份是真实的 ◦ 机密性:确保信息不被非授权者获得 ◦ 完整性:确保信息在存储/传播过程中不被篡改 ◦ 可用性:确保授权用户可以获得信息 ◦ 抗抵赖:确保信息的发送者/接收者不能否认曾发送/接收信
息
其中“机密性”、“完整性”、“可用性”三者,并称为“CIA”三特性, 这是信息安全关注的三个基本领域
安
信息安全保
全
障发展时期
保
障
信息安全发
能
展时期
力
计算机安全
发展时期 通信安全发
展期
年代
这一时期主要关注“机密性”,即如何防
范敌方/竞争对手获得自己的秘密。
安
40年代以前“通信安全”也称“通信信息保安全保
全
密”。40年代增加了“电子安全”障,发5展0 时期
保
年代欧美国家将“通信安全”和 “电子
障
信息安全体系结构,冯登国等著
安全体系结构的设计、部署和操作,Christopher M.King等,清华大学出版社
William Stallings, 密码编码学与网络安全-原理与 实践(第四版),电子工业出版社,2006
William Stallings, 《Network Security Essentials: Applications and Standards》, Prentice Hall,2002
1 信息与信息安全 2 信息安全理念的发展 3 信息安全技术的发展 4 信息安全评估与标准化
什么是信息?
信息就是信息,既不是物质也不是能量 (Wiener,1948) 信息是事物之间的差异 (Longo,1975) 信息是集合的变异度 (Ashby,1956) 信息是一种场 (Eepr,1971) 信息是用以消除随机不定性的东西 (Shannon,1948) 。 信息是使概率分布发生变动的东西 (Tribes etal, 1971) 。 信息是负熵 (Brillouin,1956) 。 信息是有序性的度量 (Wiener,1948) 。 信息是系统组织程度的度量 (Wiener,1948) 。 信息是被反映的差异 ( УΛ cy Λ, 1968) 。 …………
识力证明协议。
计算机安全
安全评估标准得到重视,可信计算机系统评估
准则(TCSEC)、信息技发术展安时全期评估准则
(相IT继SE颁C布)通、。信信安息技全术发安全性评估通用准则(CC)
计算机应急展响时应期受到重视。 “信息是资产”
的概念确立,1989年NSA资助卡内基—梅隆
大学建立世界上第一个“计算机应急小组
有了信息,就有了信息安全
秦人: “秦国就是怕让年轻力强的赵 括带兵;廉颇不中用,眼看就快投降 啦!”
赵孝成王:“拜赵括为大将,去接替 廉颇!”
传播虚假信息,使己方获益对方损失
有了信息,就有了信息安全
美军: “拍发电报:中途岛淡水系统 故障”
日军:“AF今日可能缺少淡水”
美军:“确定了!日军电报中的AF, 就是指中途岛!”
查达仁 中国科学院数据与通信保护研究教育中心(DCS) 中国科学院信息工程研究所信息安全国家重点实验室
zdr@ 82546543-602
2012年5月
概念类
◦ 课程介绍、基本概念、规划设计、密码基础
密码类
◦ 密钥管理、PKI等认证技术、授权管理、VPN
网络应用类
◦ 防火墙、入侵检测、无线安全、可行计算平台等
安全”合称为“信信号安息全安(全S发IGSEC)”
能
密码学是解决“机密性展”时的期核心技术。二
力
战Sh及a计n战n算o后n机密于安码19全学4得9年到发了表很的好论的文发《展保。密系
统的发信息展理时论期》,为对称密码学建立了理
论基础,从此密码学从“艺术”发展成为
通信安全发真正的科学。
展时期
年代
1947年世界上第一台电子计算机诞生,
这一时期对于信息安全的认知得以发展,跳出
了位非安 全否长关认久注性“以机”来等密单多性纯种、关完安注整全机性特密、性性可。的用对局性于限、安,真全开实保始性护全、目方 标密点保 障 能的码和认技新识术方也得法从到如计了EC算空C、机前密转的钥变发托为展管信,、息提盲本出签身了名。很信、多展息零新知时安观 全期发
联系办法
◦ 查达仁 闵庄路87号丙信息工程研究所4号楼4301室 ◦ 电话:82546543-602 ◦ 电子邮件:zdr@
助教
◦ 王静 ◦ wangdoudou_2009@
信息安全基本概念 体系结构基本概念 信息安全保障 三要素 信息安全体系结构规划与设计
信息:消息?信号?资料?情报?
用通俗的语言来描述,所谓信息,就是有意义的资 料,人们可以通过它获得一些知识
“信息”具有如下一些特点:
◦ 没有物理实体形态 ◦ 具有价值 ◦ 具有拥有者,他有权对掌握的信息做处置 ◦ 信息被泄露、破坏,会给拥有者带来损失
有了信息,就有了信息安全
原始人甲:“我在后山发现一头熊!” 原始人乙:“小声点,别让别人听见!我们 晚上悄悄上山去猎杀。” 保护信息不被非授权者获得
1965年美国率先提出了计算机安全
(COMPUSEC)。
这一时期主要关注“机密性、访问控制、认
安
证”,即针对计算信机息操安作全系保统及数据的安全
全
保护。
障发展时期
保
这一时期现代密码学得到了快速发展,
障
Dif信fie息e和安H全el发lman于1976年发表的论文
能
《密码展编时码期学新方向》;美国于1977年制定
荆继武等,《PKI技术》,科学出版社,2008
Bruce Schneier,《Applied Cryptography, Second ED》,机械工业出版社,2001
学时和学分
◦ 40学时,2学分
作业和测验
◦ 不定期布置作业 ◦ 期中之前交一次,期末考试之前交一次
成绩策略
◦ 作业和测验:30%,期末考试:70%
力
计算机安全的代数密据码加学密的标诞准生D,E计S,算这机两安个全事走件向标标志准着化现。
通信安全发
发展时期 美国军方提出了著名的TCSEC标准,为计算
机安全评估奠定了基础。标准化的工作带动 了安全产品的大量出现。
展时期
年代
80年代中期,美国和欧洲先后在学术界和军事
领域开始使用“信息安全”这个名词。